X用户 @NSA_Employee39 发布了一条声称发现了热门开源文件解压工具 7-Zip 的零日漏洞的消息,并附上了所谓的漏洞利用代码。这条消息迅速引起了广泛关注,尤其是在安全社区中引发了对7-Zip可能存在的任意代码执行(ACE)漏洞的担忧。
作者 Igor Pavlov 的澄清
然而,7-Zip 的作者 Igor Pavlov 迅速在 Sourceforge.net 上发表了一系列官方评论,明确表示该报道是虚假的。Igor 强调:
- 虚假代码由AI生成:“普遍的结论是,Twitter上的这个虚假漏洞代码是由LLM(大型语言模型,如ChatGPT等人工智能工具)生成的。”
- 技术细节错误:“‘虚假’代码中的注释声称该漏洞利用针对7-Zip软件中LZMA解码器的漏洞,使用一个精心构造的.7z压缩包来触发RC_NORM函数中的缓冲区溢出条件。但事实上,LZMA解码器中并没有RC_NORM函数。相反,7-Zip在LZMA编码器和PPMD解码器中包含了RC_NORM宏。因此,LZMA解码代码不会调用RC_NORM。漏洞利用注释中关于RC_NORM的声明是不真实的。”
社区反应
其他回复 @NSA_Employee39 原推文的用户也对这一声称提出了质疑,有人推测这些内容可能是通过 AI 工具生成的。社区的支持进一步验证了 Igor Pavlov 的说法,表明这位所谓的“NSA员工”发布的漏洞利用程序并不真实。
对终端用户的影响
鉴于 7-Zip 是开源项目,且社区和技术专家一致支持 Igor 的澄清,目前看来这个问题并不是终端用户需要担心的。不过,为了确保安全,建议用户采取以下预防措施:
- 保持警惕:对于任何不熟悉的 7-Zip 兼容压缩包,进行安全扫描后再解压。
- 更新软件:确保使用的是最新版本的 7-Zip,以获得最新的安全补丁和功能改进。
- 谨慎操作:避免打开来自不可信来源的压缩文件,尤其是那些声称包含特殊或敏感内容的文件。
评论